Mais de 140.000 sites de phishing foram vinculados a uma plataforma de phishing como serviço (PhaaS) chamada Sniper Dz no ano passado, indicando que ela está sendo usada por um grande número de cibercriminosos para cometer roubo de identidade.
“Para possíveis hackers, o Sniper Dz fornece um painel de controle on-line com um catálogo de páginas de phishing”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Shehroze Farooqi, Howard Tong e Alex Starov.
“Os phishers podem hospedar essas páginas de phishing na infraestrutura gerenciada do Sniper Dz ou baixar os modelos de phishing do Sniper Dz para hospedar em seus próprios servidores.”
Talvez o que o torne tão benéfico seja o facto de estes serviços serem fornecidos gratuitamente. Dito isso, as informações coletadas em sites de phishing também são divulgadas aos usuários da plataforma PhaaS, um processo que a Microsoft chama de roubo duplo.
As plataformas PhaaS tornaram-se uma forma comum de os agentes de ameaças entrarem no mundo do crime cibernético, permitindo que mesmo aqueles sem conhecimento técnico realizem ataques de phishing.
Tais serviços de phishing podem ser adquiridos no Telegram, com canais e equipes dedicadas que cuidam de cada parte da cadeia de ataque, desde a hospedagem de serviços até o envio de mensagens de phishing.
Sniper Dz é o mesmo porque os atores terroristas usam o canal Telegram com mais de 7.170 assinantes em 1º de outubro de 2024. O canal foi criado em 25 de maio de 2020.
Curiosamente, um dia após a publicação do relatório da Unidade 42, as pessoas no canal ativaram a opção de exclusão automática para excluir automaticamente todas as postagens após um mês. Isto provavelmente sugere uma tentativa de esconder os vestígios do seu trabalho, embora as mensagens anteriores permaneçam intactas no histórico da conversa.
A plataforma PhaaS pode ser acessada na clearnet e requer registro de conta para “encontrar seus golpes e ferramentas de fraude”, de acordo com a página inicial do site.
Um vídeo enviado ao Vimeo em janeiro de 2021 mostra que o serviço oferece modelos de golpes prontos para uso para vários sites online, como X, Facebook, Instagram, Skype, Yahoo, Netflix, Steam, Snapchat e PayPal em inglês, árabe e Francês . línguas. O vídeo tem mais de 67.000 visualizações até agora.
O Hacker News também identificou vídeos tutoriais enviados ao YouTube que conduzem os espectadores pelas várias etapas necessárias para baixar modelos do Sniper Dz e configurar páginas de destino falsas de PUBG e Free Fire em fóruns oficiais como o Google Blogger.
No entanto, não está claro se eles têm alguma ligação com os desenvolvedores do Sniper Dz ou se são clientes do serviço.
O Sniper Dz tem a capacidade de hospedar páginas de phishing em sua própria infraestrutura e fornecer links diretos para essas páginas. Esses sites ficam então ocultos atrás de um servidor proxy oficial (proxymesh[.]com) para evitar a detecção.
“A equipe por trás do Sniper Dz configura este servidor proxy para carregar automaticamente conteúdo de phishing de seu próprio servidor, sem comunicação direta”, disseram os pesquisadores.
“Este processo pode ajudar o Sniper Dz a proteger seus servidores back-end, já que o navegador ou scanner de segurança da vítima reconhecerá o servidor proxy como responsável pelo upload da carga de phishing.”
Outra opção para os hackers é baixar modelos de páginas de phishing off-line como arquivos HTML e hospedá-los em seus servidores. Além disso, o Sniper Dz fornece ferramentas adicionais para converter modelos de phishing no formato do Blogger que podem ser hospedados em domínios do Blogspot.
As informações roubadas são finalmente exibidas no painel de administração, que pode ser acessado fazendo login no site clearnet. A Unidade 42 disse ter visto um aumento na atividade de phishing usando o Sniper Dz, que visa principalmente usuários da web nos EUA, desde julho de 2024.
“As páginas de phishing do Sniper Dz extraem as credenciais das vítimas e as rastreiam por meio de uma infraestrutura centralizada”, disseram os pesquisadores. “Isso pode ajudar o Sniper Dz a coletar informações de vítimas roubadas por fraudadores usando sua plataforma PhaaS.”
Esse desenvolvimento ocorre no momento em que o Cisco Talos revela que os invasores estão explorando páginas da Web conectadas à infraestrutura SMTP, como páginas de formulário de criação de conta e outros gatilhos de e-mail, para contornar filtros de spam e distribuir e-mails de phishing.
Esse ataque aproveita a má validação e sanidade de entrada que é tão comum nesses formulários da web para incluir links e textos maliciosos. Algumas campanhas atacam servidores de e-mail de organizações legítimas para obter acesso a contas de e-mail e enviar spam.
“A maioria dos sites permite que os usuários se inscrevam em uma conta e façam login para acessar determinados recursos ou conteúdos”, disse o pesquisador do Talos, Jason Schultz. “Normalmente, quando um usuário é registrado com sucesso, um e-mail é enviado de volta ao usuário para verificar a conta.”
“Nesse caso, os spammers preencheram demais o campo do nome com texto e um link, infelizmente não verificados ou higienizados de forma alguma. O e-mail resultante enviado à vítima continha um link de spam.”
Também segue a descoberta de uma nova campanha de phishing por e-mail que usa um documento aparentemente inofensivo do Microsoft Excel para distribuir uma variante sem arquivo do Remcos RAT, explorando uma falha de segurança conhecida (CVE-2017-0199).
“Quando ele abriu o [Excel] arquivo, objetos OLE são usados para acionar o download e a execução de HTA maliciosos”, disse o pesquisador da Trellix, Trishaan Kalra. processo.”
